信息系統(tǒng)審計風險評價及控制研究.pdf

1、在經(jīng)濟和信息技術高速發(fā)展的今天,信息化已經(jīng)成為企業(yè)發(fā)展的新動力。企業(yè)規(guī)模不斷擴大,業(yè)務和管理日趨復雜,為了提升企業(yè)的運營效率和效益,企業(yè)引入了信息系統(tǒng)。在信息系統(tǒng)在給企業(yè)的生產(chǎn)、經(jīng)營和管理帶來巨大的促進作用的同時,也使企業(yè)面臨著更多風險。為了減少信息系統(tǒng)帶來的風險,保證企業(yè)信息系統(tǒng)的安全和效率,這時企業(yè)就需要外部的信息系統(tǒng)審計師對信息系統(tǒng)進行審計。
　　 信息系統(tǒng)審計在國外起步較早。美國從上個世紀六七十年代起就成立了信息系統(tǒng)審計

2、與控制協(xié)會(ISACA)的前身--EDP審計協(xié)會。目前信息系統(tǒng)審計與控制協(xié)會(ISACA)早已頒發(fā)了信息系統(tǒng)審計的執(zhí)業(yè)標準。信息系統(tǒng)審計在美國、日本、加拿大、英國等國發(fā)展都非常迅速。我國與計算機相關的審計從二十世紀八十年代末開始發(fā)展,信息系統(tǒng)審計也在逐步的開展開來。在我國對信息系統(tǒng)審計的需求將會日益增加,如何評價信息系統(tǒng)審計風險,如何控制信息系統(tǒng)審計的風險也成為人們關注的問題。這也正是本文要研究的問題。
　　 本文由七章組成。第

3、一章介紹研究的背景及問題、思路和內(nèi)容、方法和框架。第二章,主要是對信息系統(tǒng)審計風險進行界定。第三章分析信息系統(tǒng)審計風險的要素和新特點。第四章、第五章是本文的核心。第四章對信息系統(tǒng)審計風險評價框架進行了探索性的分析,包括對信息系統(tǒng)審計風險評價的原則、風險模型以及評價流程和評價模式,評價方法方面進行了探索。第五章對信息系統(tǒng)審計風險控制從宏觀微觀層面措施進行分析,并特別對信息系統(tǒng)審計實務中的重點環(huán)節(jié)進行了分析。第六章,通過對一個財務信息系統(tǒng)的

4、審計案例審計過程的風險評價和方法進行分析,運用第四章、第五章的研究結(jié)果對案例里的審計風險評價和防范提出一些建議,說明研究結(jié)果的應用。第七章是研究結(jié)論與局限。
　　 本文的研究思路是以信息系統(tǒng)審計風險的界定為基礎,分析信息系統(tǒng)風險的要素和特點,然后構(gòu)建信息系統(tǒng)審計風險模型,從審計風險的評價流程、評價的基本方法和審計風險模型的應用三個方面來分析和評價信息系統(tǒng)審計風險；再結(jié)合我國信息系統(tǒng)審計的現(xiàn)狀提出信息系統(tǒng)審計的風險控制方法對策。最

5、后,本文結(jié)合一個具體的案例來驗證和應用本文的研究結(jié)論。
　　 本文采用規(guī)范分析和案例分析相結(jié)合,將審計科學與信息技術相結(jié)合的方法對信息系統(tǒng)的審計風險進行分析和評價。具體而言,就是運用歸納、演繹、比較以及綜合分析相結(jié)合的規(guī)范性方法完成對信息系統(tǒng)審計風險的理論研究后,再將信息系統(tǒng)審計案例結(jié)合研究結(jié)果,做出案例分析結(jié)論。
　　 通過研究,作者得出以下結(jié)論:
　　 (1)信息系統(tǒng)審計風險的概念是研究信息系統(tǒng)審計風險的基礎

6、,它決定著風險的范圍,研究方法、評價方法和控制風險的關鍵。本文認為信息系統(tǒng)審計風險是在信息系統(tǒng)環(huán)境下,信息系統(tǒng)的安全性、可靠性、有效性存在重大隱患而審計人員審計后,由于發(fā)表了不恰當?shù)膶徲嬕庖娫谔囟ǖ慕?jīng)濟環(huán)境下使審計主體遭受損失的可能性。
　　 (2)信息系統(tǒng)審計是一項社會行為,是在外部環(huán)境和內(nèi)部需求的共同作用下產(chǎn)生的。從審計實踐活動角度看,認清審計實踐活動所處的與已相關的外部環(huán)境存在何種程度的適應性與磨擦性,對于調(diào)整審計人員的工

7、作方式,提高工作效率有很大的關系。信息系統(tǒng)審計從出現(xiàn)到現(xiàn)在經(jīng)歷了幾十年的發(fā)展,相關的理論框架和實務操作規(guī)范也逐漸的建立起來;我國對計算機輔助審計技術的研究、國內(nèi)信息系統(tǒng)審計人才的培養(yǎng)提高了信息系統(tǒng)審計人員的執(zhí)業(yè)素質(zhì)；目前企業(yè)對于信息系統(tǒng)審計的需求越來越大,這從制度上、人員上、經(jīng)濟條件上都保證了信息系統(tǒng)審計在我國的可行性。
　　 (3)信息系統(tǒng)審計風險的組成要素可以從信息系統(tǒng)自身的風險和審計過程的風險兩個方面來分析。信息系統(tǒng)自身的

8、風險主要包括系統(tǒng)開發(fā)設計風險、環(huán)境風險和系統(tǒng)風險。審計過程的風險主要包括人員操作風險、內(nèi)部控制風險、審計人員執(zhí)業(yè)能力風險和審計人員職業(yè)道德風險。
　　 (4)信息系統(tǒng)審計是一種經(jīng)濟行為,在評價其風險時應遵循成本效益原則、重要性原則、定性評價和定量評價相結(jié)合的原則、層次性原則和系統(tǒng)性原則。這些原則是合理評價審計風險的先決條件。
　　 (5)以信息系統(tǒng)審計風險的概念為基礎,建立信息系統(tǒng)審計風險模型。該模型包括四個要素分別是:

9、固有風險、控制風險、檢查風險和發(fā)現(xiàn)風險。通過對目前我國信息系統(tǒng)審計實施的現(xiàn)狀分析,認為在分析信息系統(tǒng)審計的合理組織模式是矩陣型組織模式。
　　 (6)控制信息系統(tǒng)審計風險不能只從信息系統(tǒng)審計人員或機構(gòu)進行微觀控制。還要從我國信息系統(tǒng)審計面臨的外部大環(huán)境進行宏觀的對策分析。具體來講,從微觀上控制信息系統(tǒng)審計風險要控制要從是否接受審計委托開始,通過對選派審計人員、制定審計計劃、收集審計證據(jù)、出具審計報告等方面進行風險控制。從宏觀上控